2025年、特に後半は、ランサムウエア攻撃による被害報告が大手企業を中心に広がり、ニュースでも大きく取り上げられました。個人単位では、「ワンタイムパスワード(OTP)」が突破され、証券口座を乗っ取られたというニュースもでてきました。
今回は、これまで絶対的強度を誇っていたとされてきた? OTPを突破する「リアルタイムフィッシング(アドバーサリ・イン・ザ・ミドル:AitM)」と呼ばれる技術と手口について、ご紹介していきます。
では、さっそくはじめていきましょう!
前述しましたが、2024年初頭から証券口座や銀行口座での不正送金被害が急増しており、特に「ワンタイムパスワードを入力した直後に不正送金された」という事例が複数報告されています。
フィッシング対策協議会などの報告を見ると、オープンソースの攻撃ツール(Evilginx2など)の普及により、技術力の低い犯罪者でもリアルタイムフィッシングを容易に実行できる環境にあることが指摘されています。
1. リアルタイムフィッシングとは
リアルタイムフィッシングとは、「二要素認証(2FA)を設定しているから安心」という常識を覆す、極めて巧妙なサイバー攻撃のことです。
別名でAitM(Adversary-in-the-Middle:中間者攻撃の一種)と呼ばれます。
この攻撃の最大の特徴は、ユーザーが入力する「ID・パスワード」だけでなく、その瞬間に発行される「ワンタイムパスワード(OTP)」までもリアルタイムで盗み出し、即座にログインを完了させてしまう点にあります。
2.リアルタイムフィッシング(AitM)の仕組み
従来のフィッシングは「偽サイトで情報を盗み、後で犯人が使う」ものでしたが、リアルタイムフィッシングは**「犯人が被害者と公式サイトの間に立ち、通信をリアルタイムで中継する」**のが特徴です。
攻撃のステップ
- 偽のログインページへ誘導: 被害者は、公式サイトにそっくりな偽サイト(犯人のサーバー)にアクセスさせられます。
- 情報のリアルタイム中継: 被害者がIDとパスワードを入力すると、犯人のサーバーはその瞬間に公式サイトのログイン画面へその情報を転送します。
- OTPの要求と入力: 公式サイトが「OTPを入力してください」と反応すると、偽サイトも同じ画面を被害者に表示します。被害者がOTPを入力すると、それも即座に公式サイトへ転送されます。
- セッションCookieの奪取(重要): 認証が成功すると、公式サイトはブラウザに対して「ログイン済み」を証明するセッションCookieを発行します。犯人はこのCookieを横取りし、自分のブラウザにインポートします。
- アカウント乗っ取り完了: これにより、犯人はパスワードやOTPを再入力することなく、被害者本人として口座操作や送金が可能になります。
3.なぜこれまでの対策が効かないのか
多くのユーザーが利用している以下の認証方式は、残念ながらAitMに対して脆弱です。
- SMSやメールによるOTP: 届いた数字を偽サイトに入力してしまうため、簡単に中継されてしまいます。
- 認証アプリ(Google Authenticatorなど)の6桁コード: 同様に、数字を画面に入力するタイプである限り、犯人に中継する隙を与えてしまいます。
これらの方式の弱点は、「いま自分が情報を入力している相手(サイトのURL)が本物かどうか」を技術的に検証する仕組みがないことにあります。
今回は、リアルタイムフィッシング(AitM)の基本としくみについてご紹介しました。次回はリアルタイムフィッシング(AitM)を防ぐ為の具体的な対策についてご紹介します。
解説記事「OTPを突破するリアルタイムフィッシング(AitM)とは?」の続きは
現在準備中です。
公開までお待ちください。
APPSWINGBYは、最先端の技術の活用と、お客様のビジネスに最適な形で実装する専門知識を有しております。AI開発から既存の業務システムへの統合などの他、リファクタリング、リアーキテクチャ、DevOps環境の構築、ハイブリッドクラウド環境の構築、システムアーキテクチャの再設計からソースコードに潜むセキュリティ脆弱性の改修の他、テクノロジーコンサルティングサービスなど提供しています。
貴社のセキュリティ対策等についてご相談されたい方は、お問い合わせフォームからお気軽にご連絡ください。システムの専門家が、貴社の課題解決をサポートいたします。
